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La presents invention concerns un procede et un 
appareil d' exponentiation sur 6F(2 ). q 

GF(2 n ) designe un corps de Galois contenant 2 
elements, n etant superieur a 1. Ce corps est un systeme 
5 numerigue qui comporte 2 n elements et dans lequel les 
regies d' addition et de multiplication correspondent au 
modulo arithmetique d'un polynome irreductible de degre n 
ayant des coefficients dans G(2), G(2) etant un systeme 
numerigue dans lequel les seuls elements sont les nombres 

10 binaires 0 et 1 et les regies d' addition et de multiplica- 
tion sont les suivantes : 0+0=1+1=0, 
0 + 1 = 1 + 0 = 1, 0x0 = 1x0 = 0x1 = 0, .1x1-1- 
L'approcne classigue pour 1' execution d'operations dans 
GF(2 n ) comprend la selection d'un polynome P(x) de degre n 

15 qui est irreductible sur GF(2 m ), avec m > n qui determine 
un element a dans GF(2 n ) comme racine de P(x), c'est-a-dire 
remplissant la condition P(a) = 0, et 1'affectation de 
vecteurs unitaires de longueur n ayant des composantes 

_ n— 1 
binaires aux elements 1, a, a z , ...a 

20 L' exponentiation sur GF(2 n ) est une operation qui 

est necessaire dans de nombreuses applications decrites 
dans la litterature, trois d'entre elles qu'on peut se 
rappeler etant 1' authentication des messages, l'identifi- 
cation d'un utilisateur et l'echange de cles. 

25 Authentif ication de s messages 

Contrairement a un veritable processus de signature 
numerigue, 1' authentif ication des messages necessite la 
cooperation de 1' authentif icateur. Dans ce cas, le recep- 
tionnaire a une assurance en ligne sur 1 • authenticity d'un 

30 message recu. Ce processus est tres utile par exemple dans 
tous les scenarios dans lesquels un groupe ferme d'utilisa- 
teurs veut se proteger centre le monde externe. Un exemple 
de cas est celui dans lequel un agent transmet un message a 
une agence, et les deux participants veulent etre surs 

35 qu'un ordre n'a pas ete implant4 par un adversaire- 

Si l'on appelle X l'expediteur d'un document M qui 
doit etre authentifie par la partie receptrice Y et o 
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cle publique (certifiee) de X, 1- authentication est 
realises de la maniere suivante (toutes les exponentiations 
decrites sont modulaires, c'est-a-dire, dans le cas du 
travail sur GF, qu'elles sont realises modulo un 

Y genere o r pour une valeur ^aleatoire r, et 



polyndme). 
1) 



10 



15 



transmet o r a X. Y calcule aussi K = (o ) 

2) X calcule (a r ) (les deux parties arrivent a une 
cle Q = a ra , qui n'est commune qu'a eux-roemes). 

3) X calcule S = M^/ et transfer* la paire M, S a Y 
(M pent etre chiffre par tout schema classique ou particu- 
lier de chiffrement, donnant le teste chiffre S). 

4) Y verifie que M ne peut avoir ete transmis que 
par X par calcul de tP et par comparison a S (M et S 
constituent la paire recue, K ayant ete calcule par Y au 
pas 1). 

Identification rt 'un utilisateur 

Les etapes suivantes constituent une procedure 
normale dans laquelle une personne X s'identifie vis-a-vis 
20 de Y. 

a) X transmet a Y une information non secrete i pu 
qui est certifiee comme appartenant a X. 

b) Y transmet a X un defi aleatoire C. 

c) X transmet a Y une reponse R(C, I pr ) dans 
25 laquelle I. est une information privee associee a I pu . 

d) *En fonction de I pu , C et R, Y se prouve a lux- 
meme que X est en possession de I pr - 

Le scenario precedent est realise dans un cas ideal 
par des operations sur un corps fini. L' information non 

30 secrete l u est une valeur quelconque <x a dans laquelle 
l'exposant^a constitue 1 • information privee I pr . Le defi 
correspond a une valeur quelconque a r , r etant garde secret 
par Y. La reponse R est (a r ) a . T se prouve alors a lui-meme 
que X est en possession de a, par exponentiation de R a la 

35 r _1 ieme puissance et par comparaison du resultat a a . 
Bnhan ge de cles D if fic-Hellman 

Dans le systeme de distribution de cle publique DH, 
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les parties X et Y dent les cles publigues certif iees sont 
a a et a b , arrivent toujours a la meme cle commune o . Les 
cles de sessions diffirentes peuvent etre creees si une 
partie X, qui est appelee »!• initiates" cree une cle 
dif ferente a a a chaque session, la signe avec une signature 
EG, par exemple une signature El-*amal, et la transmet a 
r autre partie Y. La signature de X est necessaire pour que 
y soit sur qu'il echange reellement une cle de session avec 
X. Dans ce cas, les cles publiques de X et Y n'ont pas le 
mane role. La cle publique de X est necessaire a ^ pour 
ou-il valide la signature de X sur la valeur regue a . La 
cle publique de Y est a b qui, avec a a , forme la cle secrete 
de session a* 3 (les cles publiques de X et Y sont evidem- 
ment certif iees par l'autorite de delivrance). 

Aucune operation de chiffrement n'est impliquee dans 
ce processus, car 1 • information echangee a *'*st pas 
secrete. Ainsi, lors de la transmission de a a Y, X 
n'utilise pas la cle publique de Y. Cette procedure est 
tout a fait differente d'un scenario d'echange de cles a 
base RSA dans lequel une cle secrete de session creee par 
1'initiateur est signee par lui-meme et chiffree par la cle 
publique du destinataire. 

Dans d'autres cas aussi, on peut utiliser une 
operation d' exponentiation sur un corps fini ou un corps de 
Galois. La possibility du travail sur GF(2 ) a ete souvent 
remarquee dans la technique, par exemple dans 1'article de 
C C Wang et al. "VLSI Architectures for Computing Multi- 
plication and inverses in GF(2 m )", [IEEE Trans, on Comput., 
vol. C-34, pages 709-716, 1985], dans 1'article de T Beth 
30 et al. "Architectures for Exponentiation in GF(2 ) 
[Advances in Cryptology-Eurocrvpt'86, LNCS 263, pages 
302-310], et dans 1'article de P.A Scott et al. "Architec- 
tures for Exponentiation in GF(2 m )" [IEEE J. Sel. Areas 
Commun., vol. SAC-6, pages 578-586, 1988]. Un precede et un 
appareil de calcul et une maniere de realiser des addi- 
tions, la mise au carre et la multiplication dans une 
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arithmetics sur un corps de Galois sont decrits dans le 
brevet des Etats-Unis d'Amerique n e 4 587 627. 

Des circuits d' exponentiation sur 6F(2 ) ont ete 
decrits dans la technique, par exemple dans le document 
precite de P.A. Scott et al. Un exemple d'un tel circuit 
convenant a 1' exponentiation sur GF(2 ) par raison de 
simplicity est schematiquement represent sur la figure 1. 
Ce circuit travaille sur la base du polynome standard. II 

comprend quatre registres. Le vecteur B qui doit etre mis 
au carre est conserve dans RG3. Le facteur A par lequel le 
vecteur doit etre multiplie est conserve dans RG1. A 
constitue aussi 1' element du corps qui doit etre soumis a 
^exponentiation. RG2 fait partie d'un circuit de multipli- 
cation a registre a decalage a retroaction lineaire LFSR. 
RG4 designe un registre tampon dans lequel A est memorise 
lorsque B est mis au carre, 1'operation etant realises par 
duplication de B dans le registre RG1 et traitement comma 
facteur par lequel B lui-meme est multiplie. En d'autres 
termes, la mise au carre est traitee comme une multiplica- 
tion d'un vecteur par lui-meme. Toute variante de ce type 
de circuit doit toujours contenir quatre registres lors du 
travail sur la base de la norme, dans la technique ante- 
rieure, a cause de la maniere utilise* pour 1' execution de 
^operation de mise au carre. On a aussi decrit dans la 
technique des cas dans lesquels trois registres seulement 
sont utilises, dans 1'article de T. Beth et al. -Architec- 
tures for Exponentiation in GF(2 n )» [Advances in 
Cryptology-Eurocrypt'86, LNCS 263, pages 302-310] et dans 
le brevet cite des Etats-Unis d'Amerique n* 4 587 627, mais 
dans le cas d'une exponentiation non sur la base de la 
norme mais sur la base normals, et dans ce cas la mise au 
carre est realisee par un simple decalage cyclique. Cepen- 
dant, dans ce cas, comme dans le circuit schematiguement 
represents sur la figure 2, en plus de trois registres, 
d . autr es circuits sous forme d'au moins n-1 portes OU-ex- 
clusif sont necessaires. Ces circuits sont represents sur 
la figure 2 dans un rectangle en traits interrompus. Ces 
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circuits Equivalent a au moins un registre supplemental^, 
si l'on utilise des registres dynamiques comme decrit dans 
la suite. 

L ' invention a pour objet 1' execution d'une exponen- 
5 tiation sur GF(2 n ) avec une quantite reduite de circuits, a 
la fois au niveau macroscopique, puisqu'un registre entier 
est elimine, et au niveau microscopique, puisque les 
registres sont realises sous forme de registres dynamiques. 
La structure modulaire f acilite en outre la realisation des 
10 circuits. 

L* invention a aussi une application plus particu- 
liere dans la realisation de 1' exponentiation sur GF(2 ) 
pour 1' utilisation de trois registres seulement et sans 
introduction de circuits excessifs. 
15 L' invention a done pour objet la realisation de 

1' exponentiation avec une reduction des circuits et avec 
une structure cellulaire plus reguliere. 

L' invention a aussi pour objet de permettre la mise 



20 



en oeuvre de systemes a cles publiques sur GF(2 n ) 



qui 



necessitent une taille bien plus grande de parametres, pour 
une complexite cryptographique comparable, sans necessiter 
une augmentation des ressources materielles. 

L' invention repose sur la consideration du fait que 
la mise au carre est une operation lineaire sur GF(2 ). 
25 Dans le precede d' exponentiation selon 1' invention, 1' ope- 
ration de mise au carre est realisee par construction d'un 
vecteur dont les composantes sont en altemance les compo- 
santes du vecteur a mettre au carre et 0. 

Plus precisement, le precede selon 1" invention met 
30 en oeuvre la mise au carre d'un facteur ayant n composantes 
par construction d'un vecteur ayant 2n-l composantes qui 
sont en altemance celles du vecteur a mettre au carrfi et 
0. Plus precisement, un vecteur x = (° 0 ' c i' c 2' *" c n-l^ 
est mis au carre par construction du vecteur x 2 = (°o, °' 
35 c r 0, c 2 , 0,... 0, c^). Le vecteur x =» n'existe jamais 
avec sa longueur totale puisqu'il est reduit modulo un 
polyndme primitif par les insertions alternatives de 0. 
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De preference, la construction du vecteur au carre 
selon 1' invention est realises par transmission des compo- 
santes du vecteur a mettre au carre, appele dans le present 
memoire "vecteur de base", a un registre et par insertion 
5 d'un 0 entre chaque couple d'elements successifs du vecteur 
de base pendant son decalage dans le registre. Comme une 
multiplication doit aussi etre realisee dans un circuit 
d' exponentiation, le registre auquel les composantes sont 
transmises est avantageusement une partie d'un circuit de 

10 multiplication. 

De maniere correspondents, un appareil d' exponentia- 
tion sur GF(2 n ) selon l'invention comports un dispositif 
destine a mettre un vecteur de base au carre (le vecteur 
etant tel que defini precedemment), ce dispositif compre- 
15 nant un dispositif destine a memoriser le vecteur de base, 
un dispositif destine a recevoir les composantes du vecteur 
au carre, et un dispositif destine a transmettre en alter- 
nate, au dispositif de reception, les composantes du 
vecteur de base et le nombre 0. De preference, le dispo- 
sitif de transmission en alternance comporte un dispositif 
de commutation qui connecte en alternance le dispositif de 
reception au dispositif de memorisation de vecteur de base 
et a une source de 0. De preference, le dispositif de 
memorisation du vecteur de base est un registre et le 
dispositif destine a recevoir le vecteur au carre fait 
partie du circuit de multiplication LFSR. 

L' appareil selon l'invention comporte un dispositif 
destine a esecuter 1'operation de multiplication afin gu'il 
complete I'algorithme de mise au carre et de multiplica- 
tion. 1,'operation est realisee de preference par utilisa- 
tion d'un circuit supplemental^ qui n'est pas essentiel- 
lement different par sa structure et son f onctionnement du 
dispositif correspondent des circuits d' exponentiation de 
la technique anterieure et qui comporte un dispositif, en 
general a registres, destine a memoriser le vecteur -appele 
dans la suite "vecteur facteur"- par leguel le vecteur de 
base doit etre multiplie. Pendant 1'operation de mise au 
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carre, le circuit supplemental^ est eventuellement decon- 
necte par mlse a 0 de portes ET qui sont incorporees. Comme 
l'indique la suite, un circuit d' exponentiation de ce type, 
destine a assurer 1« exponentiation sur GF(2 n ), comporte 
deux cellules ou unites de structure qui ne sont pas 
identiques. Comme les corps finis dans lesquels on opere 
ont un degre n qui est bien plus eleve et peut etre de 
l'ordre de plusieurs milliers, les cellules ou unites de 
structure Solvent etre repetees de nombreuses fois. Dans un 
mode de realisation de 1' invention, ceci est evite et 
d'autres avantages sont obtenus simultanement. 

Dans une telle forme de 1' invention, la phase de 
division de 1« operation de multiplication modulaire est 
realisee d'une nouvelle maniere qui permet l'utilisation de 
circuits beaucoup plus simples que ceux qui sont neces- 
saires dans les precedes decrits dans la technique ante- 
rieure, par exemple dans le brevet des Etats-Unis d'Ame- 
rique n° 4 587 627. Plus precisement, le polynome qui 
constitue le modulo de la multiplication modulaire, au lieu 
d'etre fixe et predetermine, peut etre defini et change a 
volonte. La multiplication modulaire est ainsi realisee par 

un simple decalage. 

Un circuit de ce mode de realisation de 1' invention 
comprend done un dispositif de memorisation des composantes 
du polynome primitif modulo qui est le diviseur dans la 
phase de division de la multiplication modulaire, et un 
dispositif de commands de la multiplication modulaire par 
l'intermediaire des composantes. 

De preference, un circuit de ce mode de realisation 
de 1' invention comprend un circuit de multiplication LFSR 
et le dispositif de commande de la multiplication modulaire 
comporte un dispositif de commande des retroactions vers le 
circuit de multiplication LFSR. 

De maniere plus avantageuse, le dispositif de 
memorisation des composantes du polynome primitif est 
constitue d' elements d'un registre qui sont connectes 
chacun a une porte equivalente ET, les portes ET reglant 
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les retroactions vers les portes eguivalentes OU-exclusif 
du circuit de multiplication LFSR. 

Un circuit d' exponentiation selon 1' invention peut 
comporter de nouveaux dispositifs de mise au carre, definis 
5 precedemment, et dans ce cas, la phase de division de 
1' operation de mise au carre modulaire est realisee de la 
mime maniere que la phase de division de la multiplication 
modulaire par utilisation du meme dispositif pour la 
memorisation du polynome primitif et du meme dispositif de 
10 commande de retroaction. 

Dans ce mode de realisation de 1' invention, le 
circuit comporte de preference un seul type de cellule ou 
unite repetitive de structure, la cellule comprenant une 
porte OU-exclusif, un premier element de registre place en 
serie avec la porte OU-exclusif, un second element de 
registre, et une porte ET destinee a recevoir une retro- 
action et a la transmettre a la porte OU-exclusif, et un 
troisieme element de registre connecte a la porte ET pour 
la commande de la retroaction. 

Cependant, dans une variante, differents dispositifs 
de mise au carre peuvent etre utilises, par exemple ceux 
qui sont representes sur les figures 1 et 2. 

Les elements de registres indiques precedemment 
peuvent etre des bascules statiques, mais ils peuvent etre 
differents de celles-ci. Comme tous les registres sont 
constamment deplaces et mis a zero et en consequence 
effaces naturellement, des registres de type dynamique 
peuvent etre utilises comme elements de memoire, sans 
organe de commande de memoire, et ceci constitue une autre 
caracteristique de 1' invention. Une structure d'un registre 
dynamique a decalage est decrite dans la suite. 

En outre, dans les registres dans lesquels une porte 
OU-exclusif ou NON-OU-exclusif est placee entre les cel- 
lules de decalage, ces elements loglques peuvent etre 
35 utilises comme elements d' amplification dans les registres. 

D'autres caracteristiques et avantages de 1' inven- 
tion seront mieux compris a la lecture de la description 
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qui va suivre d'exemples de realisation, faite en reference 
aux dessins annexes sur lesquels : 

les figures 1 et 2 represented schematiquement deux 
circuits d' exponentiation sur GF(2 4 ) selon la technique 

5 anterieure ; 

la figure 3 represente schematiquement un circuit de 
mise au carre GF(2 4 ) selon l'invention ; 

la figure 4 represente schematiquement un circuit 
d' exponentiation selon un mode de realisation prefere de 

10 l'invention ; 

la figure 5 represente schematiquement un circuit 
d' exponentiation dans un autre mode de realisation prefere 

de l'invention ; 

la figure 6 represente un circuit d' exponentiation 
15 selon un autre mode de realisation prefere de l'invention ; 
et 

les figures 7 et 8 represented schematiquement deux 
structures d' elements de registre selon d'autres modes de 
realisation de l'invention. 

20 Les figures 1 et 2 ont ete deja rapidement decrites 

et elles parlent d'elles-memes pour l'homme du metier. On 
se ref ere maintenant a la figure 3 qui represente ^schema- 
tiquement un circuit de mise au carre sur GF(2 ), les 
operations etant generees par f (x) = 1 + x + x . Le 

25 vecteur de base est conserve dans un registre RG3. La 
reference 5 designe un commutateur qui alterne entre une 
position basse dans laquelle il deplace les composantes du 
vecteur de base de RG3 vers le registre RG2 alors que, en 
position haute, il transmet le nombre 0 a RG2. Un vecteur 

30 au carre est ainsi cree dans RG2, ses composantes etant en 
alternance les composantes du vecteur de base et 0. Ce 
circuit de mise au carre n'a pas la phase de multiplication 
pour 1' exponentiation et il n'est done pas utilise en 
general tel quel ; neanmoins il constitue un aspect inde- 

35 pendant de l'invention et il est revendique en lui-meme 
dans le present memoire. 
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Un circuit d' exponentiation dans un mode de reali- 
sation prefere de 1' invention est represents schemati- 
quement sur la figure 4. Sur celle-ci, RG3 designs un 
registre dans lequel le vecteur de base P = (b Q , b v 
5 b^.-.b^) est memorise. Le vecteur facteur a - (a Q , Bj, 
a 2 ,...a n _ 1 ) est memorise dans le registre RG1. Les refe- 
rences 10 et 11 designent deux commutateurs. Pendant la 
phase de multiplication qui est realisee dans ce cas de 
maniere classique, le commutateur 10 est dans la position 

10 basse et fait partie du circuit de multiplication alors que 
le commutateur 11 est en position haute. Pendant la phase 
de mise au carre, le commutateur 10 est en position haute 
et separe le circuit du registre RG1 par transmission de 0 
aux portes ET 12. Le commutateur 11 alterne entre ses deux 

15 positions. Lorsqu'il est en position basse, una composante 
du vecteur de base est transmise de RG3 a RG2. Lorsqu'il 
est en position haute, RG3 est deconnecte de RG2 et un 0 
est transmis dans ce dernier. Le vecteur p 2 = (b Q , 0, b x , 
0, b 2 , 0,..., 0, b^) est ainsi construit a partir du 

20 contenu de RG2 apres 2n-l decalages. On note que RG3 est 
decale a la moitie de la vitesse de RG2 ou en d'autres 
termes le temps de mise au carre est double, par rapport 
aux circuits connus decrits, et est porte a 2n cycles 
d'horloge a la place de n cycles. Cette augmentation de la 

25 duree de 1' operation est cependant insignifiante en partie 
compte tenu de l'economie de circuits qui est obtenue par 
elimination de l'un des registres de la technique ante- 
rieure. 

Le circuit represents sur la figure 4 peut etre 
30 realise avec des registres a decalage dynamiques f abriques 
a l'aide d'line fraction des transistors utilises dans une 
realisation statique semblable. Etant donne la dimension 
propre limitee d'une pastille montee sur une carte a 
memoire, 1' utilisation possible de ces registres peut §tre 
35 une consideration essentielle. Le defaut de ces registres 
est qu'ils se vident en un temps court (d'environ 1 ms) a 



2679054 



10 



11 

moins qu'ils ne subissent un decalage frequent qui renou- 
velle leur contenu. 

Pendant la multiplication, le contenu de RGl est 
fixe alors que le contenu de RG3 est decale dans RG2. Dans 
le cas de registres qui ont une longueur d' environ 1 000 
bits et une frequence d'horloge depassant 1 MHz, le cycle 
total prend moins d'une milliseconds et, pendant cette 
periode, le contenu du registre RG1 n'est pas perdu. Comme 
la multiplication est toujours suivie d'une mise au carre, 
pendant laquelle RG1 est deconnecte (1- interrupted 10 est 
en position haute), il peut circuler pendant que RG2 et RG3 
executent la phase de mise au carre. Des raises au carre 
successives peuvent se produire et pendant ce temps RG1 
circule toujours. 
15 Les registres RG2 et RG3 peuvent evidemment etre de 

type dynamique car ils subissent constamment un decalage. 

On a note que 1' invention permettait 1* utilisation 
de trois registres seulement a la place de quatre dans le 
cas des circuits de la technique anterieure de la figure 1 
20 et des circuits analogues. 

Le circuit de la technique anterieure de la figure 2 
comporte aussi trois registres seulement, mais il necessite 
des portes OU-exclusif supplementaires qui augmentent les 
circuits materiels d'une maniere correspondant a au moins 
25 un registre dynamique supplementaire. Ce qui est pire est 
la tares grande irregularite introduite par le cablage de 
ces portes OU-exclusif, limitant la possibility de la 
realisation de circuits VLSI efficaces (circuits integres a 
tres grande echelle). 

Des circuits selon le mode de realisation de 1' in- 
vention decrit precedemment comportent deux cellules ou 
unites de circuit encadrees en traits interrompus et 
indiquees sur la figure 4 par les references 13 et 14 
respectivement, different par leurs structures de portes 
35 OU-exclusif (ces portes ayant deux entrees dans la cellule 
13 et trois dans la cellule 14), ce fait affectant la 
regularity du circuit. Si 1' exponentiation doit etre 



30 



2679054 



12 

realisee sur GF(2 n ) avec n < 4, les portes doivent etre 
repetees tin grand nombre d© fois en pratique. Cecl rend 
assez peu commode la realisation VLSI. Cet inconvenient est 
supprime dans un autre mode de realisation prefere de 
5 1* invention schematiquement represents sur la figure 5, 
dans lequel la phase de mise au carre ne differs pas de 
celle qu'on vient de decrire, mais la phase de division de 
la multiplication modulaire est realisee d'une nouvelle 
maniere different*. La structure de ce mode de realisation 

10 permet aussi 1' execution de la phase de multiplication de 
l'algorithme d' exponentiation par un seul decalage. 

Le circuit de la figure 5 comports encore trois 
registres RG1, RG2 et RG3. La reference 21 indigue encore 
un commutateur correspondant au commutateur 11 de la figure 

15 4 et travaillant de maniere analogue dans 1' operation de 
raise au carre. RG1 conserve des polynomes primitifs qui, 
avec les portes ET 22, commande la structure de retroaction 
du registre LFSR RG2. Le commutateur 20 transmet le contenu 
du registre LFSR dans la ligne de retroaction pendant la 

20 multiplication-mise au carre, et dans le registre RG3 
lorsgue le contenu du registre LFSR doit etre mis a nouveau 
au carre. Cependant, dans ce cas, pour que l» exponentiation 
soit mise en oeuvre sur GF(2 n ) avec n < 4, une seule 
cellule ou unite de structure entouree en traits interrom- 

25 pus sur le dessin et designee par la reference 23 doit etre 
repetee un nombre aussi grand de fois que necessaire, si 
bien que la structure du circuit est simplifiee et la 
realisation VLSI est facilitee. 

Les caracteristiques et avantages de la forme 

30 d' invention representee par le mode de realisation de la 
figure 5 peuvent etre montrees clairement par consideration 
de son utilisation pour le chiffrement. Dans les systemes 
habituels de chiffrement, on peut determiner un terminal 
qui est en communication avec un certain nombre d'abonnes a 

35 un systems. Chaque abonne a sa propre carte a memo ire. Des 
messages sont transmis du terminal vers les cartes et 
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inversement, et des cles publiques et privees sont 
utilisees. 

Le th6or&ne suivant a 6t6 fitabli par l 1 invent eur. 
Th§oreme : si f x dfesigne un polynSme primitif de degrfi n et 
5 a x est sa racine sur GF(2 n ), si ± 2 est le polyn6me minimal 
de (c^) 7 , f 2 Stant aussi une primitive, si est la racine 
de f 2 /GF(2 ), et si P est une matrice n x n dont la iSme 
ligne est (c^) 1 * avec i = 0, 1,..., n-1, on a alors 
(a^P - {a^) YZ pour toute valeur de z. 

10 (Note : (a x ) y et (c^) 2 indiquent que l f exponentiation est 
r6alis6e modulo f ± et f 2 respectivement, et en outre ± 2 est 
une primitive si pgcd(2 n -l, y) - 1). 

On suppose que (a 1 ) x et {a ± ) Y sont des signaux crfefes 
au niveau d'une carte & mfimoire et d r un terminal respecti- 

15 vement, ^ 6tant la racine sur GF(2 n ) d'un polyndme pri- 
mitif fj, accepte en commun par tous les participants • 
Diverses applications de chif frement ont ete sugg6r6es dans 
lesquelles [(a 1 ) y ] x a 6te calculi au niveau de la carte 
[(c^)*] 7 a ete calculfe au niveau du terminal- Pour 

20 pgcd(2 n -l, y) = 1, f 2 est le polynome primitif mi n imal de 
(c^) 7 . Compte tenu du theoreme 

(1) (a 2 ) x = [(a x ) X ] y P" 1 
pour la matrice P definie dans le th6or£me. 

II faut noter que le calcul du cot6 gauche de 

25 1' equation (1) designe des exponentiations modulo f 2 de sa 
racine c^. Ainsi, lors du calcul de (o^)* par execution de 
l'algorithme de mise au carr6 et de multiplication, la 
"multiplication" par est obtenue par un seul d6calage. 

Les lignes de la matrice p" 1 du c6t& droit de 

30 l'fequation (1) sont (c^)* 2 , avec i = 0,...n-l, et 
z = y" 1 mod(2 n -l). 

Maintenant, d'apr&s ce qui prfec&de, le terminal, au 
lieu de soumettre (c^) 7 a une carte, peut soumettre le 
polynome minimal f 2 de (c^) 7 et la carte calcule alors 

35 (<* 2 ) X - La 0311:6 soumet alors au terminal sa valeur et 
le terminal calcule l{a 1 )*l Y P~ 1 , et arrive ainsi au m§me 
result at. 
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Une palre cle secrete-cle publique {y ; f 2 > ^ 
creee par selection initials d'une valeur y telle que 
pgcd(2 n -l, y) = 1, puis par creation du polynome minimal f 2 
de a 7 . La quantite de calcul necessaire pour le calcul de 
5 f_ pour une valeur donnee o ne dspasse pas une seule 
operation d' exponentiation. 

Par rapport a 1' operation complete habituelle 
d' exponentiation modulaire realises aux deux extremites, 
l'approche suggeree permet des multiplications (et non la 

10 mise au carre) pour un decalage au niveau de la carte, ceci 
etant compense par n-2 multiplications supplementaires et 
jusqu'a n-1 additions au niveau du terminal. En plus de 
1 'economic de temps, il existe aussi une certaine reduction 
des circuits materiels au niveau de la carte et l'obtention 

15 d'une structure cellulaire plus reguliers qui facilite la 
realisation VLSI. 

La cle publique f 2 transmise par le terminal est le 
polynome primitif qui commande les connexions de retro- 
action de RG2. La valeur recue f 2 est conservee dans le 

20 registre RG1. La carte doit assurer 1' exponentiation de la 
racine de f 2 a la xieme puissance (1' operation est 

realises modulo f 2 ). L' utilisation de l'algorithme de mise 
au carre et de multiplication assure la multiplication du 
contenu de RG2 par par decalage du rsgistre une seule 

25 fois. 

Par observation du circuit de la figure 4, on note 
que la phase de multiplication est realisee par 2n deca- 
lages, car le contenu de RG2, destine a §tre multiplie par 
1» element du corps d' exponentiation, doit d'abord etre 

30 decale dans RG3 puis decale a nouveau dans RG2, si bien 
qu'il faut au total 2n decalages. Ces 2n decalages sont 
remplaces dans ce cas par un seul decalage de RG2 car la 
multiplication est realisee dans RG2 sans decalage initial 
de son contenu a l'sxterieur. 

35 Le registre RG3 conserve 1' element qui doit etre 

ports au carre pendant 1' exponentiation. (La mise au carre 
est realisee par commutation en alternance 10 de la maniere 
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d6j& decrite). Cet element a ete forme avant que le contenu 
de RG2 ne le soit et a 6t6 d6cal6 dans RG3. Les registres 
RG2 et RG3 peuvent etre naturellement r6alis6s sous forme 
de registres dynamiques & decalage car lis assurent un 
5 decalage constant. RG1 peut aussi etre un registre 
dynamique 4 decalage dont le contenu est renouveie par 
circulation alors que le contenu de RG2 est transmis (par 
l f interm6diaire de S2) & RG3. 

Lors de la multiplication comme dans le mode de 

10 realisation de la figure 5, la realisation de la mise au 
carr6 peut mettre en oeuvre tout procede de mise au carr6 
sur la base de la norme, puisque le procede suggfirfi pour la 
multiplication par un seul decalage est ind6pendant de la 
realisation de la mise au carrS. On peut utiliser le 

15 circuit de la figure 1. Le nombre de registres dans ce cas 
est encore 6gal & quatre puisque le registre RG1, qui 
conserve le terme produit, est remplacS par un registre qui 
commande les connexions de retroaction de RG2. 

Pour la regularity de la structure, les trois 

20 registres k decalage sont construits par des repetitions de 
la cellule representee sur la figure 5. Cette cellule est 
identique en principe & la plus petite des deux cellules 
encadrtes sur la figure 4. Mis & part l f 6conomie possible 
de temps offert par le circuit de la figure 4, il existe 

25 aussi une certaine reduction des circuits et l f obtention 
d'une structure cellulaire plus reguli&re qui facilite la 
realisation VLSI. 

II est intferessant de comparer le fonctionnement du 
circuit de la figure 5 k celui de la figure 2. Le premier 

30 travaille sur la base de la norme (polyn6me) et le second 
sur la base normale. Le premier execute une operation de 
multiplication en un dfecalage alors que le second execute 
une operation de mise au carr6 en un decalage. Le second 
circuit est plus rapide car 

35 a) pendant 1 1 exponentiation, le nombre d 1 operations 

de mise au carre est en moyenne deux fois celui des multi- 
plications , 
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b) le second circuit execute une multiplication en n 
decalages alors que le premier realise la mise au carre en 
2n decalages. 

La figure 6 represente un circuit d' exponentiation 
dans lequel la multiplication est realisee comme dans le 
mode de realisation de la figure 5, mais la mise au carre 
est realisee selon la technique anterieure. Le circuit 
travaille par mise en oeuvre du principe du circuit d 'expo- 
nentiation de la figure 1, avec l'option eventuelle de la 
figure 5, permettant une bonne flexibility pour la selec- 
tion de la structure de retroaction, c'est-a-dire V utili- 
sation de polynomes primitifs a modulo different. L'avan- 
tage d'un tel circuit peut §tre l'execution de la phase de 
multiplication dans l'algorithme d' exponentiation par mise 
au carre et multiplication, en un seul decalage. La mise au 
carre est encore realisee par multiplication de deux copies 
de 1' element qui doit etre mis au carre. Ces deux copies 
sont conservees dans les registres RG1 et RG2. II faut 
noter que le registre RG4, utilise sur la figure 1 pour la 
memorisation de 1' element qui doit subir 1 ' exponentiation 
pendant la phase de mise au carre, n'est pas necessaire 
dans le circuit de la figure 6. 

La figure 7 represente un circuit d'une cellule 
d' inversion qui peut etre utilisee dans un registre a 
decalage dynamigue tres long de numero pair. Deux cellules 
sont representees sur la figure. Les condensateurs 31 et 32 
qui sont indiques ne sont pas obligatoirement des elements 
separes mais peuvent etre constitues par des capacites 
naturelles du circuit. Un inverseur de structure classique 
30 est designe par la reference 30. Des tensions C vdd et C vss 
peuvent. leur etre appliquees. Un transistor 35 de passage 
est monte en serie avec eux. L' inverseur 30 est place en 
alternance a un etat de fonctionnement et de non-fonction- 
nement, par realisation en alternance de 1' excitation et de 
35 la deconnexion de C ydd et C vss - Pendant la phase de non- 
fonctionnement, le transistor est mis a l'etat conducteur. 
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La figure 8 reprfisente un 616ment & dfecalage qui 
peut §tre utilise dans des registres dans lesquels un 
signal OU-exclusif ou NON-OU-exclusif pilote chaque cellule 
de registre. La porte OU-exclusif ou NON-OU-exclusif 40 est 
mise a l'etat de fonctionnement ou de non-fonctionnement 
par excitation et dfeconnexion en alternance de C ydd et C vgs 
avec transmission du meme type d f amplification que celui 
qui est assurfe par l'inverseur du mode de realisation de la 
figure 7. Dans ce cas encore, un transistor 41 de passage 
est montfe en sferie avec la porte, la capacity convenable 
etant indiqufee symboliquement a nouveau par des r6f Srences 
31 et 32. 

Bien qu'on ait deer it un certain nombre de modes de 
realisation de l f invention & titre illustratif, il faut 
15 noter que 1» invention peut etre mise en pratique d'un 
certain nombre d'autres manieres sans sortir de l r esprit ni 
du cadre des revendications annexees. 
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REVENDICATIONS 

1. ProcddS d' exponentiation dans un corps fini 
GS(2 n ), caractferisS en ce que l'op&ration de mise au carrS 
est r6alis6e par construction d'un vecteur dont les compo- 

5 santes sont en alternance les composantes du vecteur & 
mettre au carre et 0* 

2. Proced6 selon la revendication 1, caract6ris6 en 
ce qu'il comprend la mise au carr6 d'un vecteur ayant n 
composantes par construction d'un vecteur ayant des compo- 

10 santes qui sont en alternance les composantes du vecteur & 
mettre au carrS et 0. 

3. Proc6d£ selon l'une des revendications 1 et 2, 
caracterise en ce qu'il comprend la transmission des 
composantes du vecteur de base & un registre et I'introduc- 

15 tion d f un 0 entre chaque couple d' Elements successifs du 
vecteur de base pendant le decalage dans le registre. 

4. Proced6 selon l'une quelconque des revendications 
1 J 3 r caractferisS en ce qu'il comporte en outre la multi- 
plication du vecteur de base par un vecteur facteur, 

20 5. ProcSdS de multiplication modulaire, caractfirise 

en ce que le polyndme qui constitue le modulo de la multi- 
plication modulaire est dfefini et modifife & volont6. 

6. Procfede selon la revendication 5, caract6ris6 en 
ce que la multiplication est realisfee en un seul dScalage. 

25 7. Appareil d ' exponentiation dans un corps fini 

GF(2 n ), caract6ris6 en ce qu'il comprend un dispositif 
destinfe & assurer la mise au carr6 d'un vecteur de base, ce 
dispositif comprenant un dispositif de memorisation du 
vecteur de base, un dispositif de reception des composantes 

30 du vecteur de base, et un dispositif destine & transmettre 
en alternance, au dispositif rteepteur, les composantes du 
vecteur de base et 0* 

8. Appareil selon la revendication 7, caract6ris§ en 
ce que le dispositif de transmission en alternance comprend 

35 un commutateur qui connecte alternativement le dispositif 
de reception au dispositif de memorisation du vecteur de 
base et £ une source de 0. 
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9. Appareil selon l'une des revendications 7 et 8, 
caract6rise en ce que le dispositif de memorisation du 
vecteur de base est un registre et le dispositif de recep- 
tion du vecteur de base est une partie d'un circuit de 

5 multiplication LFSR. 

10. Appareil selon l*une quelconque des revendica- 
tions 7 a 9, caract&rise en ce qu'il comprend un circuit 
destinfi & executer l f operation de multiplication et qui 
comporte un dispositif essentiellement en forme de 

10 registre, destine a memoriser le vecteur facteur, et un 
dispositif destine a d6connecter le dispositif de memorisa- 
tion du vecteur facteur pendant la phase de mise au carr6. 

11. Appareil selon la revendication 10, caract6ris6 
en ce que le circuit destine a executer 1' operation de 

15 multiplication comprend des portes ET et un dispositif 
destine a transmettre 0 aux portes ET. 

12. Appareil de multiplication modulaire, caract6- 
ris6 en ce qu'il comporte un dispositif de memorisation des 
composantes du polynome primitif modulo, qui est le divi- 

20 seur dans la phase de division de la multiplication modu- 
laire, et un dispositif destine & commander la multiplica- 
tion modulaire par les composantes. 

13. Appareil selon la revendication 12, caracteris6 
en ce qu T il comprend un circuit de multiplication LSFR, et 

25 en ce que le dispositif de commande de la multiplication 
modulaire comporte un dispositif de commande des retroac- 
tions vers le circuit de multiplication LFSR. 

14. Appareil selon la revendication 12, caracteris6 
en ce que le dispositif de memorisation des composantes du 

30 polyndme primitif sont des elements d'un registre qui sont 
connect6s chacun & une porte ET, les portes ET commandant 
les retroactions aux portes Otf-exclusif du circuit de 
multiplication LSFR. 

15. Appareil d f exponentiation, caract6ris6 en ce 
35 qu'il comprend un dispositif de mise au carr6 selon la 

revendication 5 et un appareil de multiplication selon la 
revendication 12. 
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16. Appareil selon la revendication 15, caract6ris6 
en ce que le dispositif de m&norisation du polynfime pri- 
mitif et le dispositif de commande de retroaction sont 
communs aux dispositif s destines h exfecuter la mise au 

5 carre et a rfealiser la multiplication. 

17. Appareil selon l f une des revendications 15 et 
16, caract6ris& en ce qu'il ne comporte qu'un seul type de 
cellule ou unite repetitive de structure, la cellule 
comprenant une porte OU-exclusif , un premier element de 

10 registre montS en s&rie avec la porte Otf-exclusif , un 
second 616ment de registre, une porte ET destinfie & rece- 
voir une retroaction et a la transmettre a la porte OU-ex- 
clusif , et un troisieme element de registre connects S la 
porte ET pour la commande de la retroaction. 

15 18. Appareil selon I'une quelconque des revendica- 

tions 7 & 17, caract£ris6 en ce que les 616ments de 
registre sont de type dynamique. 

19. Appareil selon la revendication 18, caract6ris6 
en ce qu'une porte OU-exclusif ou NON-OU-exclusif est 

20 placee entre des cellules successives de dfecalage des 
registres, et des elements logiques sont utilises comme 
616ments amplificateurs dans ces registres. 

20. Registre dynamique a dfecalage, caractSrisfe en ce 
qu'il comporte une repetition de cellules, la cellule 

25 amplificatrice comprenant un inverseur, un transistor de 
passage et un dispositif destine & mettre en alternance 
1 1 inverseur dans des phases de fonctionnement et de non- 
f onctionnement . 

21. Registre selon la revendication 20, caracteris6 
30 en ce qu'une porte 0U--exclusif ou NON-OU-exclusif est 

utilisee comme inverseur. 
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